IPB

Welcome Guest ( Log In | Register )

 
Reply to this topicStart new topic
> Постоянно обнаруживается несуществующий файл в необработанных объектах [В процессе]
HalfHuman
post 17.03.2017 11:43
Post #1


Member
**

Group: Members
Posts: 23
Joined: 3.03.2017




20.10.2016 на моей рабочей станции был вылечен файл в %USERPROFILE%\AppData\Local\Microsoft\Temporary Internet Files\Content.Word\~WRO0001.doc (лежит в резервном хранилище).
в это же самое время в карантине появился файла %USERPROFILE%\AppData\Local\Microsoft\Temporary Internet Files\Content.Word\~WRO0001.doc//word/document.xml объект "троянская программа HEUR:Exploit.MSWord.CVE-2015-1641.gen"
спустя продолжительное время для улучшения статистики стали очищать необработанные файлы, я посмотрел, что это часть файла и заархивировал весь ~WRO0001.doc с паролем, после чего в списке необработанных файлов я удалил
файл.
но эта строка с этим файлом постоянно возвращается, только она одна (всего 4 записи в карантине и 28 файлов в резервном хранилище).
пробовали и удалять и перепроверять - файл строчка пропадает, статус становится ОК.
спустя некоторое время статус опять "Есть необработанные объекты" и строка есть с новой датой события.
самого файла ~WRO0001.doc уже физически нет.
При попытке "открыть папку исходного размещения файлов" (опция из контекстного меню) получаю ошибку "Ошибка открытия папки. Возможно, папка не существует."
удаление и перепроверка, если их инициировать с сервера KSC10, тоже не помогает.
надоело каждый раз перед формированием отчета по сети лезть и удалять один и тот же не существующий файл.
почему оно возвращается, хотя файла нет, как то этого избавиться?
Go to the top of the page
 
+Quote Post
Artem Ershov
post 17.03.2017 14:32
Post #2


Technical Support Engineer
**************

Group: KL Russia
Posts: 6599
Joined: 15.06.2015




Добрый день!

Уточните, пожалуйста, версии используемвх продуктов.

Спасибо!


--------------------
In english: GSI report | AVZ report | KSC10 Traces | KES10 Traces | KSC9 Traces | KES8 Traces(RUS) | klnagchk log(RUS)
На русском: Отчет GSI | Лог AVZ | Трассировки KSC10 | Трассировки KES10 | Трассировки KSC9 |Трассировки KES8 | Отчет утилиты klnagchk

Please evaluate support help by using "Rating" option!
Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!


Подписаться на новости о корпоративных продуктах
Go to the top of the page
 
+Quote Post
HalfHuman
post 20.03.2017 09:19
Post #3


Member
**

Group: Members
Posts: 23
Joined: 3.03.2017




обнаружилось на KES10 SP1 MR2 (10.2.4.674 mr2), продолжилось при обновлении до mr3 (10.2.5.3201 mr2,mr3),осталось при установке патча pf1879 (10.2.5.3201 mr2,mr3,pf1879), под политикой, управляется с сервера KSC10 10.3.407
прямо сейчас вижу тот же файл с датой события 17.03.2017 17:00:35 - удаляю.
посмотрю, когда заново появится.

This post has been edited by HalfHuman: 20.03.2017 09:21
Go to the top of the page
 
+Quote Post
Konstantin Anton...
post 20.03.2017 10:03
Post #4


Technical Support Engineer
************

Group: KL Russia
Posts: 3221
Joined: 2.12.2015




QUOTE(HalfHuman @ 20.03.2017 08:19) *
обнаружилось на KES10 SP1 MR2 (10.2.4.674 mr2), продолжилось при обновлении до mr3 (10.2.5.3201 mr2,mr3),осталось при установке патча pf1879 (10.2.5.3201 mr2,mr3,pf1879), под политикой, управляется с сервера KSC10 10.3.407
прямо сейчас вижу тот же файл с датой события 17.03.2017 17:00:35 - удаляю.
посмотрю, когда заново появится.

Здравствуйте!

По какой причине устанавливался патч pf1879?

Спасибо!


--------------------
In english: GSI report | AVZ report | KSC10 Traces | KES10 Traces | KSC9 Traces | KES8 Traces(RUS) | klnagchk log(RUS)
На русском: Отчет GSI | Лог AVZ | Трассировки KSC10 | Трассировки KES10 | Трассировки KSC9 | Трассировки KES8 | Отчет утилиты klnagchk

Please evaluate support help by using "Rating" option!
Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!
Go to the top of the page
 
+Quote Post
HalfHuman
post 20.03.2017 11:22
Post #5


Member
**

Group: Members
Posts: 23
Joined: 3.03.2017




в 10:00:38 файл опять висит в необработанных
патч pf1879 устанавливался для исправления утечки дескрипторов, обсуждение в ветке https://forum.kaspersky.com/index.php?showtopic=366640
Go to the top of the page
 
+Quote Post
Konstantin Anton...
post 20.03.2017 12:07
Post #6


Technical Support Engineer
************

Group: KL Russia
Posts: 3221
Joined: 2.12.2015




QUOTE(HalfHuman @ 20.03.2017 10:22) *
в 10:00:38 файл опять висит в необработанных
патч pf1879 устанавливался для исправления утечки дескрипторов, обсуждение в ветке https://forum.kaspersky.com/index.php?showtopic=366640

Есть ли возможность проверить наличие этого файла по упомянутому ранее пути с помощью стороннего файл менеджера?

Спасибо!


--------------------
In english: GSI report | AVZ report | KSC10 Traces | KES10 Traces | KSC9 Traces | KES8 Traces(RUS) | klnagchk log(RUS)
На русском: Отчет GSI | Лог AVZ | Трассировки KSC10 | Трассировки KES10 | Трассировки KSC9 | Трассировки KES8 | Отчет утилиты klnagchk

Please evaluate support help by using "Rating" option!
Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!
Go to the top of the page
 
+Quote Post
HalfHuman
post 20.03.2017 13:34
Post #7


Member
**

Group: Members
Posts: 23
Joined: 3.03.2017




dir /a *.doc в данной папке сообщает, что файл не найден
FAR Manager от имени администратора и от имени пользователя файла не видят.
проводник такой файл не отображает.
в самой папке бОльшая часть файлов ~WRS{RANDOMGUID}.tmp, мЕньшая ~WRF{RANDOMGUID}.tmp и при сортировке по имени посередине между ними лежит ~WRO0001-20170302135814.rar, в который заархивирован с паролем и шифрованием имен сам исходный (а судя по дате изменения "вылеченный" файл).
последняя перезагрузка - 4 суток назад.
то есть выглядит это всё так, будто файла самого нет. и сам касперский же при попытке открыть папку с объектом дает ошибку.
Go to the top of the page
 
+Quote Post
Konstantin Anton...
post 20.03.2017 14:36
Post #8


Technical Support Engineer
************

Group: KL Russia
Posts: 3221
Joined: 2.12.2015




QUOTE(HalfHuman @ 20.03.2017 12:34) *
dir /a *.doc в данной папке сообщает, что файл не найден
FAR Manager от имени администратора и от имени пользователя файла не видят.
проводник такой файл не отображает.
в самой папке бОльшая часть файлов ~WRS{RANDOMGUID}.tmp, мЕньшая ~WRF{RANDOMGUID}.tmp и при сортировке по имени посередине между ними лежит ~WRO0001-20170302135814.rar, в который заархивирован с паролем и шифрованием имен сам исходный (а судя по дате изменения "вылеченный" файл).
последняя перезагрузка - 4 суток назад.
то есть выглядит это всё так, будто файла самого нет. и сам касперский же при попытке открыть папку с объектом дает ошибку.

Соберите трассировки в момент повторного обнаружения после удаления файла из необработанных.

Спасибо!


--------------------
In english: GSI report | AVZ report | KSC10 Traces | KES10 Traces | KSC9 Traces | KES8 Traces(RUS) | klnagchk log(RUS)
На русском: Отчет GSI | Лог AVZ | Трассировки KSC10 | Трассировки KES10 | Трассировки KSC9 | Трассировки KES8 | Отчет утилиты klnagchk

Please evaluate support help by using "Rating" option!
Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!
Go to the top of the page
 
+Quote Post
HalfHuman
post 20.03.2017 15:13
Post #9


Member
**

Group: Members
Posts: 23
Joined: 3.03.2017




на обед поставил procmon с мониторингом папки
файл в необработанных снова появился в 13:00:39
avp.exe в этот момент делал две операции CreateFile,на первую получил результат (путь "C:\documents and settings\username\appdata\local\microsoft\windows\temporary internet files\content.word\~wro0001.doc\word\") REPARSE, на вторую (путь "C:\Users\USERNAME\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.WORD\~WRO0001.DOC\WORD" )PATH NOT FOUND.
пути скопировал из procmon - первый через document and settings, сточными и бэкслэш в конце, второй через Users и всё, кроме Users - прописными и без бэкслеша в конце.
в момент удаления обращения к папке нет.
попробую "поймать"это событие, судя по всему оно происходит с периодичностью один-два часа почти ровно в начале часа.
Go to the top of the page
 
+Quote Post
Konstantin Anton...
post 20.03.2017 15:14
Post #10


Technical Support Engineer
************

Group: KL Russia
Posts: 3221
Joined: 2.12.2015




QUOTE(HalfHuman @ 20.03.2017 14:13) *
на обед поставил procmon с мониторингом папки
файл в необработанных снова появился в 13:00:39
avp.exe в этот момент делал две операции CreateFile,на первую получил результат (путь "C:\documents and settings\username\appdata\local\microsoft\windows\temporary internet files\content.word\~wro0001.doc\word\") REPARSE, на вторую (путь "C:\Users\USERNAME\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.WORD\~WRO0001.DOC\WORD" )PATH NOT FOUND.
пути скопировал из procmon - первый через document and settings, сточными и бэкслэш в конце, второй через Users и всё, кроме Users - прописными и без бэкслеша в конце.
в момент удаления обращения к папке нет.
попробую "поймать"это событие, судя по всему оно происходит с периодичностью один-два часа почти ровно в начале часа.

Ждем от вас информации.

Спасибо!


--------------------
In english: GSI report | AVZ report | KSC10 Traces | KES10 Traces | KSC9 Traces | KES8 Traces(RUS) | klnagchk log(RUS)
На русском: Отчет GSI | Лог AVZ | Трассировки KSC10 | Трассировки KES10 | Трассировки KSC9 | Трассировки KES8 | Отчет утилиты klnagchk

Please evaluate support help by using "Rating" option!
Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!
Go to the top of the page
 
+Quote Post
HalfHuman
post Today, 15:34
Post #11


Member
**

Group: Members
Posts: 23
Joined: 3.03.2017




поймал
судя по всему файл возвращается сразу после обновления баз.
архив с записью procmon (где-то минута, остальное вырезано) и файлы трейса с уровнем 600 тут - https://cloud.mail.ru/public/5CXH/xKVuDszrx
файл procmon есть и более подробный, но может и этого хватит
Go to the top of the page
 
+Quote Post
HalfHuman
post Today, 16:29
Post #12


Member
**

Group: Members
Posts: 23
Joined: 3.03.2017




забыл сказать, но может это в логах будет понятно - теперь время обнаружения файла 14:00:38

This post has been edited by HalfHuman: Today, 16:30
Go to the top of the page
 
+Quote Post
Dmitry Eremeev
post Today, 18:42
Post #13


Technical Support Specialist
**************

Group: KL Russia
Posts: 10675
Joined: 30.07.2014
From: Moscow




QUOTE(HalfHuman @ 27.03.2017 15:29) *
забыл сказать, но может это в логах будет понятно - теперь время обнаружения файла 14:00:38


Вы пробовали полностью переустанавливать KES ?
Спасибо.


--------------------
In english: GSI report | AVZ report | KSC10 Traces | KES10 Traces | KSC9 Traces | KES8 Traces(RUS) | klnagchk log(RUS)

На русском: Отчет GSI | Лог AVZ | Трассировки KSC10 | Трассировки KES10 | Трассировки KSC9 |Трассировки KES8 | Отчет утилиты klnagchk

Подписаться на новости о корпоративных продуктах

Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!

Please evaluate support help by using "Rating" option!


Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic

 



Lo-Fi Version Time is now: 27.03.2017 20:28